|
2022年已接近尾声,减少许字化危害、加强安全防御能力依然是众多公司组织数字化发展中的要紧需求和目的。
纵观2022年,全世界重大网络安全事件频发,网络钓鱼、黑客软件、复合攻击等事件层出不穷,严重影响了公司和个人的信息安全,而这些趋势将延续至新的一年。
而安全的本质是攻防实战。没论是安全开发,还是安全服务,实战才是硬道理。网络安全的学习过程,便是持续在实战演练中累积实操经验的过程。
除了经过开源安全项目学习外,经过在CNVD漏洞平台尝试挖洞是一条有效的实战路径。不仅能提高实战经验,倘若发掘了原创漏洞还能够得到相应证书。总的来讲有以下好处:
① CNVD原创漏洞证书能够经过证书编号到官网查找,是漏洞挖掘的能力证明。② 在安全求职就业方面,例如将其写在简历中针对找工作是加分项。③ 除此之外,在攻防演练、渗透测试等安全业务合作中,亦属于“硬通货”。
小白怎样学习CNVD漏洞实操案例?
CNVD是国家信息安全漏洞共享平台(China National Vulnerability Database,简叫作 CNVD),是由于国家计算机网络应急技术处理协调中心(中文简叫作国家互联网应急中心,英文简叫作 CNCERT)联合国内要紧信息系统单位、基本电信运营商、网络安全厂商、软件厂商和互联网公司创立的国家网络安全漏洞库。
CNVD整合了国家政府分部、要紧信息系统用户、运营商、重点安全厂商、软件厂商、研究公司、公共互联网用户等等,一起创立了软件安全漏洞统一收集验证、预警发布及应急处置体系,既提高我国在安全漏洞方面的整体科研水平和即时预防能力,亦带动国内关联安全制品的发展。
CNVD 漏洞重点分为事件型漏洞和通用型漏洞。挖洞思路没非以下三种:
1、查询网上公开漏洞库或漏洞平台,如:SeeBug 漏洞库、Exploit-db 漏洞库、PeiQi 漏洞库、CVND/CVE/CNNVD 平台等,查看国内外厂商已爆出的安全漏洞(Nday漏洞),针对机构注册资金5千万及以上的厂商,按照已爆出安全漏洞的系统再去挖掘出新的漏洞(通用或事件型漏洞)。
2、经过天眼查、企查查、爱企查等平台,筛选注册资金5千万及以上的机构,到网络空间资产测绘系统(FoFa、Zoomeye、360 等)搜索该机构关联通用资产,挖掘通用型漏洞(中危及以上)。
3、针对国内通信运营商(中国移动、中国电信、中国联通、中国铁塔),触及要紧行业单位、研究院所、要紧企事业单位(如:中央国有大型公司、部委直属事业单位等),挖掘事件型漏洞(高危)。
CNVD 原创漏洞审核处置流程涵盖审核归档、验证处置、公开披露、评分认证等多个环节。
CNVD 原创漏洞证书是为了肯定漏洞报送者(白帽子)在防范漏洞安全危害的积极功效,由 CNVD 官方制作并发布给报送者的电子证书。
| 
发表于 2024-7-12 09:07:42
